- Novembris jätkusid DDoS-ründed, sai avalikuks Itella andmelekke juhtum ja toimus mitu suurt õngitsuskampaaniat.
- Teavitasime domeenide omanikke nende halduses olevast kompromiteeritud veebilehest ja koostasime ülevaate Microsofti toodetest, mille tugi kaob järgmisel aastal.
- Jätkusid juba 10 kuud kestnud küberründed seoses Venemaa invasiooniga Ukrainasse.
CERT-EE-le teavitatud intsidendid, millel oli mõju andmete või infosüsteemide konfidentsiaalsusele, terviklusele või käideldavusele.
Automaatseire käigus tuvastatud seadmed Eesti küberruumis, mis on pahavaraga nakatunud. CERT-EE teavitab nakatumistest võrkude omanikke.
Õngitsuslehed moodustavad jätkuvalt kõige suurema osa CERT-EE registreeritud intsidentidest
Olukord Eesti küberruumis
Novembris jätkusid kuid väldanud teenuse-tõkestusründed Eesti ettevõtete ja riigiasutuste pihta. Kõige suurem mõju oli 19. novembril läbi viidud rünnakutel,mille tulemusel ei olnud mitmed veebilehed kättesaadavad. Sihtmärkideks olid Eesti Energia ja teised ettevõttega seotud kodulehed, samuti Majandus- ja Kommunikatsiooniministeeriumi, Eesti Panga ja EASi veebilehed. Mõne lehekülje töö katkes isegi kuni 9 tunniks, kuid muudele teenustele mõju ei olnud.
Kuu ei möödunud ka ilma teenusekatkestuseta. 3. novembril ajavahemikul 9.03 kuni 10.15 oli tõrkeid mobiil-ID kasutamisel Eestis ja Leedus. Sel ajal esines probleeme mobiil-ID vahendusel internetipankadesse ja teistesse e-teenustesse sisenemisel ning digitaalallkirja andmisel. 21. novembril toimus katkestus rahvastiku-registri töös, mistõttu olid häiritud ka Haigekassa põhiteenused ja Mobiil-ID sertifitseerimisteenus. Hetkel ei ole tõrgete põhjus teada.
7. novembril sai avalikuks Itella andmelekke juhtum, mille tagajärjel olid veebis kättesaadavad Smartposti klientide nimed, telefoninumbrid, meiliaadressid ja info pakkide liikumise koha. Itella Estonia OÜ sõnul mõjutas andmeleke 69 äriklienti ja avalikuks said rohkem kui 10 000 kasutaja andmed. Kurjategijal õnnestus Smartposti andmetele ligipääs saada ja need avaldada ettevõtte nõrkade turvareeglite tõttu. Ettevõtte on intsidendi järel CERT-EE abil enda turvaseadistusi parandanud, et tulevikus taolisi olukordi vältida.
Taas levisid näiliselt Eesti Maaülikooli nimel saadetud pahavaraga kirjad. Kirjadele oli lisatud manusena troojan-tüüpi pahavaraga nakatunud XLL-failid, mille avamisel oli ründajal võimalik saada ligipääs kasutaja seadmele. Kirjade pealkirjaks oli näiteks „Hinnapäring nr. 797466“ ja neis kutsuti üles tutvuma hanke-dokumentidega. Taolisi ülikoolide andmeid võltsivaid õngitsuskampaaniaid on toimunud juba korduvalt. Soovitame sellised kirjad kustutada, manuseid mitte avada ning CERT-EE’d juhtunust teavitada.
Novembri lõpus, nn musta reede ajal, hakkasid taas levima näiliselt Omniva nimel saadetud petukirjad, milles anti teada et saabunud on postipakk ja tollimaks vajab tasumist. Kirjas oli link, mis suunas kasutajat sisestama enda pangakaardiandmeid. Omniva juhib tähelepanu, et ei küsi kunagi kliendi pangakaardi andmeid ja soovitab tähelepanelikult üle kontrollida veebiaadress, kuhu kasutaja suunatakse. Samal ajal toimus lisaks suurem pankade nimel saadetud õngitsuskirjade kampaania.
Tegevused küberturvalisuse parandamisel Eestis
Novembris teavitasime mitmete domeenide omanikke nende halduses olevatest kompromiteeritud veebilehtedest. CERT-EE monitooring tuvastas veebilehtedele paigaldatud pahaloomulise veebikesta (web shell), mis võimaldab kurjategijatel muuta või varastada veebiserveris olevaid andmeid. Kolmas osapool võib nakatunud veebilehtedele üles laadida pahaloomulist sisu, mille eesmärk võib olla reklaamida illegaalseid kaupu, õngitseda kasutajate andmeid või levitada pahavara. Saatsime kõigile kompromiteeritud veebide kontaktisikutele info, kuidas tuleks edasi toimida ja mil moel tulevikus intsidendi kordumist vältida.
Viisime “Tagasi Kooli” projekti raames läbi e-tunnid teemadel “Kuidas ma ise oma sotsiaalmeediat turvata saan?”, “Mida enesekaitse internetis mulle üldse annab?” ja “Kuidas saadakse “heaks” häkkeriks?”. E-tunde on võimalik järele vaadata nende kodulehelt.
Kirjutasime RIA blogis domeeninimede süsteemist (DNS) ja nimelahenduste turvalisusest. Lisaks koostasime ülevaate Microsofti toodetest, mille tugi kaob 2023. aastal. Microsoft peatab järgmisel aastal turvauuenduste väljastamise 53 teenusele ja tarkvarale. Kui kasutaja või asutus jätkab nende teenuste kasutamist, siis tekib reaalne oht langeda küberrünnaku või kuriteo ohvriks. Jätkasime blogis ka suure mõjuga turvanõrkuste regulaarset kajastamist. Reeglina igal teisipäeval kirjutame blogis eelmise nädala jooksul avaldatud olulisematest turvanõrkustest, mis tooteid need mõjutavad ja millised tagajärjed võivad kaasneda kui tarkvara jätta uuendamata.
Novembris lõpetasime neli järelevalvemenetlust ning viisime läbi jätkutegevusi tervishoiu, vedelkütuse ja elektri varustajate valdkonnas varem alustatud menetlustega. RIA veebilehel on võimalik tutvuda selle ja eelmiste aastate jõustunud ettekirjutustega, mis on tehtud asutustele ja ettevõtetele. Avaldamise eesmärgiks on praktika läbipaistvus ning ühiskonna infoturbealase teadlikkuse tõstmine.
Novembris jätkusid Infoturbe halduse baaskoolitused Eesti Infoturbestandardi rakendajatele, mida korraldasime Euroopa Liidu struktuuritoetuse toetusskeemist "Infoühiskonna teadlikkuse tõstmine". Lisaks toimus ka E-ITS kaasamisseminar avalikule sektorile, kus rääkisime E-ITSi ja muu infoturbe seadusandluse seisust, erinevate õigusaktide nõuete ühendamisest, jagasime praktikute kogemusi ja nõuandeid neile, kes alles plaanivad uut infoturbe standardit rakendama hakata.
Rahvusvaheline keskkond
Möödunud kuul jätkusid juba 10 kuud kestnud küberründed seoses Venemaa invasiooniga Ukrainasse. Näiteks küberturvalisuse ettevõtte ESETi andmetel saatis Vene sõjaväeluure uue lunavaralaine vähemalt viie Ukraina organisatsiooni pihta. Samas märkis Ukraina president, et Ukraina vabatahtlikest koosnev nn IT-armee on peatanud vähemalt 1300 Vene küberrünnakut.
Küberturvalisuse ettevõte Mandiant aga teatas, et Venemaa välisluureteenistusega (SVR) seotud küberrühmitusel APT29 õnnestus eduka õngitsusründe järel pääseda ligi ühele Euroopa diplomaatilise üksuse võrgule, ent ei täpsustatud, millisele.
Ukraina häktivstid on vedanud uut kampaaniat Torrents of Truth, mille raames lisavad venelaste seas populaarsete torrentisaitide (nt The Pirate Bay) kaudu levitatavatele filmidele ja sarjadele videolõike Ukrainas toimuvast. Teine grupp ukrainameelseid häktiviste teatasid Venemaa keskpanga ründamisest ja avaldasid 2,6 GB suuruse kausta, milles olevat 27 000 dokumenti infoga panga operatsioonide ja turvapoliitika kohta ning osade praeguste ja endiste töötajate isikuandmed.
Ent jätkuvalt aktiivsed olid ka kremlimeelsed häktivistid. Muuhulgas teatasid nad USA vahevalimiste ajal teenusetõkestusrünnetest nt Mississippi osariigi veebilehtede pihta. Häireid oli ainult veebilehtede töös, valimiste süsteemile ja hääletele mõju puudus.
Lisaks õnnestus venemeelsetel häktivistidel maha võtta Euroopa Parlamendi veebileht ja seda vahetult pärast hääletust, millega tunnistati Venemaa terrorismi toetavaks riigiks.
Taani suurim rongioperaator DSB pidi tundideks rongiliikluse katkestama, sest rongide juhtimiseks vajalikku tarkvara pakkuv ettevõte sai pihta küberrünnakuga. Belgias aga tabas kohalikku politseijaoskonda lunavararünnak ja kurjategijad lekitasid oma sõnul politsei süsteemidest varastatud dokumendid. Lisaks kannatas lunavararünnaku all ka üks USA ülikool, kus oli päevadeks rivist väljas muuhulgas e-mailisüsteem, klassiruumide arvutid ja võrguprintimine.
Ühendkuningriikide küberkeskus teatas, et hakkab tegema turvanõrkuste skaneerimisi kõigile UK domeenis olevatele internetti ühendatud seadmetele. Eesmärk on teavitatud avastatud turvanõrkustest seadmete omanikke, skaneerimiseks kasutatakse avalikult kättesaadavaid tööriistu.
Hiina riiklike sidemetega küberrühmitus Mustang Panda on tänavu kasutanud pahvara levitamiseks Google Drive’i, sihtmärkideks on olnud riigiasutused ja akadeemilised organisatsioonid üle maailma. Sihtmärkidele saadetakse e-kirju, milles suunatakse neid Drive’i lingilt pahavara alla laadima, peibutusteemana kasutatakse peamiselt geopoliitikat.
